로드먼 라메자니안 - 글로벌 클라우드 위협 책임자
2023년 10월 18일 7분 읽기
최근 MGM 리조트 인터내셔널을 겨냥한 사이버 침입은 오늘날의 위협 환경에서 현대 조직이 직면하고 있는 민감한 데이터의 보호와 노출된 취약성을 둘러싼 시급한 문제를 강조했습니다.
벨라지오, 아리아, 코스모폴리탄 등 라스베이거스 스트립의 유명 호텔과 카지노를 운영하는 MGM 리조트는 사이버 공격의 심화에 대응하기 위해 광범위한 네트워크 셧다운을 실시했습니다. 이로 인해 호텔과 카지노 시설 전체에 상당한 혼란이 발생했으며, 고객들은 ATM과 슬롯머신을 사용할 수 없는 것부터 객실 디지털 키 카드와 전자 결제 시스템의 오작동에 이르기까지 다양한 문제를 경험했습니다.
범인은? 사회 공학에 능숙한 사이버 범죄자들입니다. 이들은 영어를 유창하게 구사하는 독특한 특성으로 사이버 보안 업계에서 인정을 받았으며, 이는 일반적으로 영어 실력이 부족한 대부분의 사이버 범죄 집단과 차별화되는 특징입니다.
흥미롭게도 맨디언트의 연구원들은 전술, 기법, 절차(TTP)가 비슷하기 때문에 팀 구성과 접근 방식이 비슷한 스캐터드 스파이더와 랩서스 해킹 그룹 간의 상관관계를 발견했습니다(그림 1 참조).¹
그들의 수법은? 영리하게 실행된 소셜 엔지니어링 작전은 내부 헬프데스크를 통한 다단계 인증(MFA) 요청 재설정을 용이하게 하기 위해 고위 MGM 사용자의 LinkedIn 프로필을 활용하여 초기 액세스를 위한 길을 열었습니다.
이 문제에 대한 수많은 보안 보고서에 따르면, 가해자들은 "인바운드 페더레이션"이라는 기능을 사용하여 Okta 테넌트에 추가 ID 공급자(IdP)를 설정함으로써 MGM의 네트워크 내에서 지속성을 확보했습니다. 이 기능은 일반적으로 조직 인수 합병 시 빠른 연결 및 통합을 위해 사용되지만, 이 사례에서는 위협 행위자가 이를 악용하여 피해자의 네트워크에 대한 통제력을 강화했습니다.
그 시점부터 공격자들은 MGM의 Okta와 Microsoft Azure 클라우드 환경을 장악하여 ID 및 액세스 관리(IAM) 플랫폼에서 관리하는 애플리케이션뿐만 아니라 클라우드 자산까지 장악했습니다. MGM 사이버 보안 담당자가 Okta 서버 동기화를 종료한 후에도 해커들은 네트워크 내에 남아 있었다고 진술했습니다(그림 2 참조).² 해커들은 MGM의 Okta 환경에 대한 수퍼 관리자 권한과 MGM의 Microsoft Azure 테넌트에 대한 글로벌 관리자 권한을 보유하고 있었다고 주장했습니다.
결국 수많은 호텔 시스템을 지원하는 수천 개의 가상 머신을 호스팅하는 수백 대의 ESXi 서버가 암호화되어 광범위한 혼란을 야기했습니다. ESXi 호스트가 순차적으로 암호화되면서 애플리케이션이 연쇄적으로 다운되었습니다. 이로 인해 슬롯머신이 작동하지 않고, 호텔 객실 키가 작동하지 않고, 저녁 식사 예약이 중단되고, POS 시스템이 작동하지 않고, 고객이 체크인이나 체크아웃을 할 수 없게 되었습니다.
랜섬웨어 공격은 전통적으로 피싱, 인증 정보 도용, 취약점 악용 등 다양한 방법을 사용해 왔습니다.
최근 몇 년 동안 여러 가지 이유로 소셜 엔지니어링, 더 구체적으로는 비싱(보이스 피싱)이 더욱 효과적으로 사용되고 있습니다:
IAM 플랫폼을 표적으로 삼는 것은 위협 행위자들이 사용하는 잘 알려진 전술로, 조직에 대한 지속적인 액세스를 제공하고 시스템 전반으로 권한을 확장하여 피해를 증가시키는 결과를 가져옵니다. 이 전략은 새로운 것은 아니지만 강력한 액세스 거점을 찾는 공격자에게는 엄청난 가치를 창출하는 전략입니다.
위협 행위자가 발견되고 인지된 후, MGM의 Okta 동기화 서버는 종료되었고 랜섬웨어 공격 단계가 진행 중이었으며, BlackCat/ALPHV 랜섬웨어 그룹에 의해 공격이 진행되었습니다. 서비스형 랜섬웨어(RaaS)는 범죄 공급망 내에서 번성하고 있는 산업입니다. 합법적인 기업이 SaaS 애플리케이션에 의존하는 것과 유사하게, BlackCat/ALPHV와 같은 범죄 그룹은 멀웨어 개발, 명령 및 제어 서비스, Tor 유출 사이트, 멀웨어 지원, 피해자 협상 서비스 등 원래 공격자의 역량을 보완하는 전문 서비스를 제공합니다.
미국 최대 카지노 체인인 시저스 엔터테인먼트가 심각한 침해 사고 이후 약 1,500만 달러의 몸값을 지불하는 것을 보고 사이버 범죄 그룹은 자신들 앞에 놓인 기회를 탐색할 충분한 동기를 찾게 될 것입니다.
공격자가 소셜 미디어(LinkedIn) 피해자 데이터를 교묘하게 조작하여 MGM IT 헬프데스크 운영자를 속여 가장 중요한 초기 액세스 경로를 확보한 만큼 보안 교육과 경계의 중요성을 절대 간과해서는 안 됩니다.
소셜 엔지니어링과 비싱, 인증정보 탈취, 클라우드 계정 탈취, 궁극적으로는 랜섬웨어를 결합한 이러한 위협에 직면할 때는 노출과 공격 표면을 최소화하는 것이 가장 중요합니다. 다음은 이와 같은 정교한 위협을 방어하는 데 도움이 되는 몇 가지 팁입니다:
11년 이상의 광범위한 사이버 보안 업계 경력을 보유한 Rodman Ramezanian은 엔터프라이즈 클라우드 보안 고문으로 Skyhigh Security 에서 기술 자문, 지원, 솔루션 설계 및 아키텍처를 담당하고 있습니다. 이 역할에서 Rodman은 주로 호주 연방 정부, 국방 및 기업 조직에 중점을 두고 있습니다.
로드먼은 적대적 위협 인텔리전스, 사이버 범죄, 데이터 보호 및 클라우드 보안 분야를 전문으로 합니다. 그는 호주 신호 감독국(ASD)에서 승인한 IRAP 평가자이며 현재 CISSP, CCSP, CISA, CDPSE, Microsoft Azure 및 MITRE ATT&CK CTI 자격증을 보유하고 있습니다.
로드먼은 복잡한 문제를 간단한 용어로 표현하여 일반인 및 신규 보안 전문가가 사이버 보안의 대상, 이유, 방법을 이해할 수 있도록 돕는 데 강한 열정을 가지고 있습니다.